Вполне вероятно, что проблема не столько в том, что вы захватываете, а в том, что полезная нагрузка больше одного пакета.
Когда вы запускаете tcpdump, в наши дни по умолчанию используется захват пакетов, длина которых соответствует MTU вашего интерфейса (как минимум). Вы можете переопределить это, если вы не уверены, указав нулевую длину захвата:
tcpdump -s 0 -w captureFile.cap
Опять же, это, вероятно, не проблема здесь. Более вероятно, что остальные данные находятся в следующем сегменте TCP. К сожалению, tcpdump не идеальный инструмент для извлечения данных сеанса. Я бы посоветовал вам взглянуть на Wireshark (или tshark), который позволит вам легко выбрать пакет и затем повторно собрать поток данных со всеми удаленными заголовками IP и TCP.